Har du som styrelseledamot ett ansvar för cybersäkerhet?

Cybersäkerhet är i alla verksamheter strategiskt viktigt och en nyckelkomponent för att skapa en robust verksamhet, för att kunna ta till vara nya affärsmöjligheter och inte minst att ha aktieägarnas och kundernas förtroende. Men vad innebär det här för en styrelse och vad behöver du som styrelseledamot veta? Det här är första delen i en bloggserie där vi kommer ta upp ditt ansvar som styrelseledamot, vilken kunskap och verktyg du behöver ha och hur frågan kan hanteras som en del i styrelsens ordinarie arbete.

Inledning
Den bakomliggande drivkraften för att cybersäkerhet kommer upp på styrelsebordet är att digitaliseringen i kombination det alltmer försämrade omvärldsläget har inneburit att cyberrisker seglat upp som en av de största riskera för de flesta bolag samtidigt som lagstiftning och sanktioner ökat. De bolag som lyckas navigera i det nya juridiska landskapet och har kontroll på sin cybersäkerhet skaffar sig en fördel och kan hitta nya affärsmöjligheter och använda nya tekniker på ett mycket mer framgångsrikt sätt än sina konkurrenter.

Styrelsens ansvar för cybersäkerhet framgår indirekt - som en del av styrelsen övergripande ansvar - i Aktiebolagslagen. För noterade bolag utvecklas detta ytterligare i Svensk kod för bolagsstyrning och det finns även verksamhets- och branschspecifik lagstiftning som tillkommit i stor omfattning de senaste åren. Exempel på det är NIS2, ett direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela EU för samhällsviktiga verksamheter, och DORA om digital operativ motståndskraft för finanssektorn. Det finns också vissa delar inom de nya redovisningskraven för miljö och socialt ansvar, ESG, som pekar på styrelsens ansvar för cybersäkerhet.

Ansvar för ledningsorgan inom offentlig sektor kommer inte tas upp i detta blogginlägg. Det skiljer sig från privat sektor och styrs av andra lagar.

Aktiebolagslagen (ABL)
I Aktiebolagslagen är styrelsens ansvar beskrivet i allmänna termer. Styrelsen ansvarar för bolagets organisation och förvaltning av bolagets angelägenheter. I det ligger att se till att bolaget har en ändamålsenlig organisation med fungerande rutiner och funktioner. Styrelsen fattar normalt sett beslut om övergripande riktlinjer medan detaljerna överlåts till VD och dennes medarbetare. Ansvaret innefattar även en skyldighet att se till att VD fullgör sina skyldigheter och ingripa om så inte är fallet. Styrelsen har också ett utpekat ansvar för bolagets interna kontroll där cybersäkerhet ingår även om det inte är specificerat. Styrelsen ansvarar gentemot bolaget och dess aktieägare.

EU:s Nätverks- och Informationssäkerhetsdirektiv 2 (NIS2)
I NIS 2 finns skrivningar som innebär mer omfattande sanktioner och personligt ansvar för styrelse och ledning men i ett delbetänkande från den 5 mars med förslag på hur NIS2 ska implementeras i svensk rätt, hänvisar utredarna till gällande rätt när det gäller styrelsens ansvar, dvs Aktiebolagslagen.

Det enda som tillkommit, förutom krav på cybersäkerhetsutbildning, är en möjlighet att besluta om förbud att utöva ledningsfunktion i styrelse eller högsta ledning för en fysisk person. Samtidigt konstaterar utredningen att det bara kan bli aktuellt i yttersta undantagsfall vid uppsåt eller grov oaktsamhet. Det innebär att det personliga ansvaret, precis som nu, är gentemot bolaget och aktieägarna och inte mot ett kontrollorgan som till exempel en tillsmyndighet. Det här tycker vi är olyckligt då det inte speglar intentionen i direktivet.

Kraven på riskhanteringsåtgärder hanteras bara övergripande i förslaget. Utredningen har däremot lagt till att "Verksamhetsutövare ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete."  Ett systematiskt och riskbaserat informationssäkerhetsarbete innebär bland annat att arbetet bedrivs långsiktigt, kontinuerligt och metodiskt samt att det finns en tydlig rollfördelning med särskilt utpekat ansvar. Därigenom kan verksamhetens ledning på ett systematiskt sätt styra arbetet med informationssäkerhet i syfte att planera, genomföra, kontrollera, följa upp, utvärdera och förbättra säkerheten i verksamhetens informationshantering. Det förefaller vara ett rimligt förslag eftersom det blir svårt att uppfylla kraven annars. De flesta standarder inom cybersäkerhetsområdet pekar även på årlig rapportering till och förankring i ledningsfunktioner vilket nu även borde gälla styrelse. Det finns få andra sätt som är praktiskt möjliga för att styrelseledamöter ska kunna uppfylla sitt ansvar.

Förordning om digital operativ motståndskraft (DORA)
Dora innebär, till skillnad från NIS2, inte några lagstiftningsåtgärder i svensk rätt vilket gör att den kommer att gälla i Sverige från och med den 17 januari 2025 utan några förändringar. På svenska heter den ”Förordning om digital operativ motståndskraft” och syftar till att hantera digitala risker och upprätthålla verksamhetskontinuitet inom finansbranschen vid cyberattacker. Det här innebär ett mer omfattande ansvar för dig som styrelseledamot som verkar i finanssektorn inklusive ett personligt skadeståndsansvar. I korthet kan sägas att styrelsen ska vara avsändare av en stor del av de styrande dokumenten gällande hantering av IT-risker, svara för adekvat resurstilldelning, besluta om organisation (roller och ansvar), kontinuerligt övervaka införandet av arrangemangen för att möta IT-riskerna samt någon gång årligen uppdatera vissa komponenter. Vidare ska samtliga styrelseledamöter genomgå utbildning inom cybersäkerhet.

Svensk kod för bolagsstyrning (”Koden”)
Målgruppen för Svensk kod för bolagsstyning är samtliga aktiebolag vars aktier eller depåbevis är upptagna till handel på̊ en reglerad marknad i Sverige. För närvarande finns två̊ reglerade marknader i Sverige, Nasdaq Stockholm och NGM Equity. I koden definieras styrelsens ansvar mer utförligt än aktiebolagslagen och har även i senaste utgåvan utvecklats mot hållbarhet och säkerhet. I ljuset av de ökade cyberriskerna och de omfattande regleringspaketen inom cybersäkerhetsområdet från EU är för styrelsen som är direkt relaterade till cybersäkerhet i koden är:

• identifiera hur hållbarhetsfrågor påverkar bolagets risker och affärsmöjligheter,
• se till att det finns ändamålsenliga system för uppföljning och kontroll av bolagets verksamhet och de risker för bolaget som dess verksamhet är förknippad med,
• se till att det finns en tillfredsställande kontroll av bolagets efterlevnad av lagar och andra regler som gäller för bolagets verksamhet samt bolagets efterlevnad av interna riktlinjer
• säkerställa att bolagets informationsgivning präglas av öppenhet samt är korrekt, relevant och tillförlitlig.

Slutsats
Sammanfattningsvis har du som styrelseledamot ett ansvar för att cyberrisker hanteras och att bolaget följer lagstiftning inom området. Beroende på vilken sektor som bolaget verkar inom är det ansvaret mer eller mindre detaljerat beskrivet både när det gäller vad som måste beslutas i styrelsen och ditt personliga ansvar. Det är därför av största vikt att du tar reda på hur omfattande ditt ansvar är, säkerställer att du har kunskap för att ta beslut i övergripande cybersäkerhetsfrågor och att du ska förstå hur dina övriga beslut påverkar cybersäkerheten i verksamheten.

Nästa del i serien kommer vi att utveckla vad ansvaret innebär och vilka området det kan innefatta.

Fredrik Blix, Director Knowit Cybersecurity & Law och doktor i cybersäkerhet vid Stockholms universitet.

Carl Knudsen, senior jurist och säkerhetsskyddsexpert.

Åsa Schwarz, styrelseledamot i Enea AB och Precis Biometrics, affärsutvecklingschef på Knowit Cybersecurity & Law och författare.